第42章 IPSec基础
IPSec基础-IPSec服务
IPSec基础-IPSec服务IPSec 协议不是⼀个单独的协议,它给出了应⽤于IP层上络数据安全的⼀整套体系结构,包括络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和⽤于络认证及加密的⼀些算法等。
IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等络安全服务...IPSec基础-IPSec服务IPSec 协议不是⼀个单独的协议,它给出了应⽤于IP层上络数据安全的⼀整套体系结构,包括络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和⽤于络认证及加密的⼀些算法等。
IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等络安全服务。
⼀、安全特性 IPSec的安全特性主要有: ·不可否认性 "不可否认性"可以证实消息发送⽅是可能的发送者,发送者不能否认发送过消息。
"不可否认性"是采⽤公钥技术的⼀个特征,当使⽤公钥技术时,发送⽅⽤私钥产⽣⼀个数字签名随消息⼀起发送,接收⽅⽤发送者的公钥来验证数字签名。
由于在理论上只有发送者才拥有私钥,也只有发送者才可能产⽣该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。
但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送⽅和接收⽅掌握相同的密钥。
·反重播性 "反重播"确保每个IP包的性,保证信息万⼀被截取复制后,不能再被重新利⽤、重新传输回⽬的地址。
IPSec入门指南
IPSec入门指南1 IPSec协议简介IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
z z z zz z zz z 私有性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送。
完整性(Data integrity)指对接收的数据进行验证,以判定报文是否被篡改。
真实性(Data authentication)指验证数据源,以保证数据来自真实的发送者。
防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。
并且还可以通过IKE (Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。
AH是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而,AH并不加密所保护的数据报。
ESP是封装安全载荷协议,它除提供AH协议的所有功能之外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
AH和ESP可以单独使用,也可以同时使用。
对于AH和ESP,都有两种操作模式:传输模式和隧道模式。
IKE协商并不是必须的,IPSec所使用的策略和算法等也可以手工协商IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。
2 安全联盟IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。
IPSec基本原理介绍
IKE介绍
RFC 2409 使用Diffie-Hellman交换,在不安全的网络
上安全地分发密钥,验证身份 定时更新SA和密钥,实现完善的前向安全
性 允许IPSec提供抗重播服务 降低手工布署的复杂度 UDP端口500
23
IKE与IPSec的关系
普通报文
AH/ESP
受保护的报文
校验、数据源验证、拒绝重播报文等安全功 能 IPSec可以引入多种验证算法、加密算法和 密钥管理机制 IPSec VPN是利用IPSec隧道实现的L3 VPN IPSec也具有配置复杂、消耗运算资源较多、 增加延迟、不支持组播等缺点
4
目录
IPSec VPN概述 IPSec体系结构 AH ESP IKE
加密报文
IP
站点B
普通报文 RTB
8
IPSec SA
SA(Security Association,安全联盟) 由一个(SPI,IP目的地址,安全协议标识符)
三元组唯一标识 决定了对报文进行何种处理
协议、算法、密钥
每个IPSec SA都是单向的 手工建立/IKE协商生成 SPD(Security Policy Database) SAD(Security Association Database)
发起方的密钥生成信息 接收方的密钥生成信息
发起方身份和验证数据 接收方的身份和验证数据
密钥生成
产生密钥
身份验证和 交换过程验证
验证对方 身份
26
IKE野蛮模式
Peer1
发送本地IKE策略 开始DH交换
发起方策略 DH公共值
接收方确认的策略、 DH公共值、验证载荷
ipsec讲解
SECURITY PROTOCOL
IPSEC 用2个协议保护DATA安全 ESP AH
认证头标AH
AH协议提供无连接的完整性、数据源认证 协议提供无连接的完整性、 协议提供无连接的完整性 和抗重放保护服务 不提供保密性服务 AH使用消息认证码(MAC)对IP进行认证 使用消息认证码( 使用消息认证码 ) 进行认证
g is the generator p is a large prime number
R1
R2 b is a private secret
Xa =
ga
mod p
Xb = gb mod p (Xa)b mod p = responder secret
initiator secret = (Xb)a mod p
SKEYID_d= hash (SKEYID,K|CI|CR|0)
If need others secret keys 且不做PFS(perfect forwar secrecy) ,use the secret key .
SKEYID_a= hash (SKEYID, SKEYID_d |K|CI|CR|1)
IPSEC TUNNEL MODE
|IP HEAD|TCP|DATA| AH |new HEAD|AH|IP HEAD|TCP|DATA| |--------------------auth--------------------| ESP |new head|esp-head|IP HEAD|TCP|DATA|ESP-tail|ESP-auth| |-----------------------auth-----------------------| |----------encrypted--------------|
IPSec VPN基础
IPSec VPN基础1.IPsec简介IPSec,因特网协议安全,是由IETF(Internet Engineering Task Force)定义的一套在网络层提供IP安全性的协议。
IPSec主要提供以下功能:•机密性(加密)•数据的完整性•来源认证•反重放保护IPSec 由两种模式和两种主要协议组成:• 传送模式和通道模式• 用于认证的“认证包头”(AH) 协议和用于加密(和认证)的“封装安全性负荷”(ESP) 协议2.传送模式(Transport Mode )和通道模式(Tunnel Mode)传送模式初始 IP 封包没有封装在另一个 IP 封包中。
整个封包都可以认证 ( 使用 AH ),负荷可以加密 ( 使用 ESP ),初始包头仍保留通过 WAN 发送的明文。
通道模式整个初始 IP 封包 ( 负荷和包头) 都封装在另一个 IP 负荷中,并且附加了新包头。
整个初始封包可以被加密、被认证、或者既加密又认证。
利用 AH, AH 和新包头也可以被认证。
使用 ESP, ESP 包头也可以被认证。
3.协议IPSec 使用两种协议以保护 IP 层的通信:• 认证包头 (AH) ——认证 IP 封包来源和验证其内容完整性的安全协议• 封装安全性负荷 (ESP)——加密整个 IP 封包 ( 以及认证其内容) 的安全协议o AH“认证包头” (AH) 协议提供验证内容真实性/ 完整性以及封包来源的方法。
可以通过校验和来认证此封包,该校验和是使用密钥和 MD5 或 SHA-1 散列功能通过基于散列的信息认证代码 (HMAC) 计算得出的。
“信息整理”版本 5 (MD5) ——从任意长度信息和 16 字节密钥生成 128 位散列 ( 也称作数字签名或信息整理)的算法。
所生成的散列(如同输入的指印)用于验证内容和来源的真实性和完整性。
安全散列算法 1 (SHA-1) ——从任意长度信息和 20 字节密钥生成 160 位散列的算法。
IPSec基础
摘自《更安全的Linux网络》2. 隧道模式8.5.2 IPSec的组成要素(1)IPSec 通信协议其实是由两个不同的协议所组成的,分别为AH (AuthenticationHeader)与ESP(Encapsulated Secutiry Payload),而这两个协议所负责的任务功能是不同的,其中AH 协议的功能为“完整性验证”,ESP 协议的功能则为“完整性验证与加密”。
接着,我们来看AH 与ESP 协议的原理及运行方式。
1. AHAH(Authentication Header)协议以数字签章的方式来确保数据的完整性。
例如,我们可以使用AH 协议来确认传送过程中的数据内容没有遭到窜改或因传送质量不良所造成的数据错误,另外,AH 协议可以工作于传输模式及隧道模式两种,但请注意,AH 协议不包含加密的功能。
以下说明AH 协议在传输模式及隧道模式下的运行原理。
1)传输模式下的AH 协议如图8-16 所示,如果我们要在两部主机之间以AH 协议来保护传送的数据封包,那么必须先为两台主机设置一把“加密密钥”。
我们假设主机A 的密钥为待主机B 收到封包之后,主机B 就以Key(A)为解密密钥将AH 包头中的验证数据解密,这样即可得到主机A 所计算出来的Fingerprint,我们令其为F (A),接着主机B 也对收到的整个封包进行散列运算,当然,也会得到一个Fingerprint,而这个Fingerprint 是当下立即计算出来的,我们令其为F(B),最后如果F(A)等于F(B),那么依据散列算法的特性,我们就可以确认封包在传送的过程中,其数据内容并没有任何改变。
在了解了AH 协议在传输模式下的运行方式之后,或许你会觉得很奇怪,为什么A、B 主机各需要一把加密密钥?而不是只要一把加密密钥就够了?这是因为IPSec 当初在设计时,特别把AH 协议设计成“单向”的,也就是说,我们可以只选择主机A 送数据给主机B 时要走AH 协议,而主机B 送数据给主机A 时则不要走AH 协议。
IPsec的基础知识
IPsec的基础知识了解IPsec迫切需要在大型公共WAN(主要是Internet)上安全地传输数据包。
解决方案是开发许多网络协议,其中IPsec是部署最多的协议之一。
它可以从以下事实中获益:无需对附加的同行进行任何更改即可轻松调整。
在本文中,我们将研究IPsec的概述,其部署技术及其工作原理。
IPsec简介IPsec是相关协议的框架,用于保护网络或分组处理层的通信。
它可用于保护对等体之间的一个或多个数据流。
IPsec支持数据机密性,完整性,原始身份验证和反重放。
它由两个主要协议组成。
认证头(AH)在此协议中,对IP报头和数据有效负载进行哈希处理。
从该哈希中,构建新的AH头,其附加到分组。
这个新数据包通过路由器传输头部和有效负载的路由器传输。
两个哈希都需要完全匹配。
即使单个位发生更改,AH标头也不会匹配。
封装安全负载(ESP)这是一种为数据包提供加密和完整性的安全协议。
在标准IP头之后添加ESP。
由于它包含标准IP标头,因此可以使用标准IP设备轻松路由。
这使得它向后兼容IP路由器,甚至那些不是设计用于IPsec的设备。
ESP在IP分组层执行。
它包含六个部分,其中两个部分仅被认证(安全参数索引,序列号),而其余四个部分在传输期间被加密(有效载荷数据,填充,填充长度和下一个标题)。
它支持多种加密协议,由用户决定选择哪一种。
加密技术IPsec有两种加密模式。
两种模式都有自己的用途,应根据解决方案谨慎使用。
隧道模式这会加载有效负载和标头。
当数据包的目标不同于安全终止点时,将使用隧道模式下的IPsec。
此模式的最常见用途是在网关之间或从终端站到网关之间。
网关充当主机的代理。
因此,当数据包的来源与提供安全性的设备不同时,使用隧道模式。
运输方式在此加密模式下,仅加密每个数据包的数据部分。
此模式适用于终端站之间或终端站与网关之间。
它是如何工作的IPsec使用隧道。
我们定义敏感或有趣的数据包安全地通过隧道发送。
通过定义隧道的特性,定义了敏感数据包的安全保护措施。
(完整版)IPSec基础
•IPSec基础(一)——IPSec概览IP网络安全问题IP网络安全一直是一个倍受关注的领域,如果缺乏一定的安全保障,无论是公共网络还是企业专用网络都难以抵挡网络攻击和非法入侵。
对于某个特定的企业内部网Intranet来说,网络攻击既可能来自网络内部,也可能来自外部的Internet或Extranet,其结果均可能导致企业内部网络毫无安全性可言。
单靠口令访问控制不足以保证数据在网络传输过程中的安全性。
几中常见的网络攻击如果没有适当的安全措施和安全的访问控制方法,在网络上传输的数据很容易受到各式各样的攻击。
网络攻击既有被动型的,也有主动型的。
被动攻击通常指信息受到非法侦听,而主动攻击则往往意味着对数据甚至网络本身恶意的篡改和破坏。
以下列举几种常见的网络攻击类型:1)窃听一般情况下,绝大多数网络通信都以一种不安全的"明文"形式进行,这就给攻击者很大的机会,只要获取数据通信路径,就可轻易"侦听"或者"解读"明文数据流。
"侦听"型攻击者,虽然不破坏数据,却可能造成通信信息外泄,甚至危及敏感数据安全。
对于多数普通企业来说,这类网络窃听行为已经构成了网管员所面临的最大的网络安全问题。
2)数据篡改网络攻击者在非法读取数据后,下一步通常就会想去篡改它,而且这种篡改一般可以做得让数据包的发送方和接收方无知无觉。
但作为网络通信用户,即使并非所有的通信数据都是高度机密的,也不想看到数据在传输过程中遭至任何差错。
比如在网上购物,一旦我们提交了购物定单,谁也不会希望定单中任何内容被人肆意篡改。
3)身份欺骗(IP地址欺骗)大多数网络操作系统使用IP地址来标识网络主机。
然而,在一些情况下,貌似合法的IP地址很有可能是经过伪装的,这就是所谓IP地址欺骗,也就是身份欺骗。
另外网络攻击者还可以使用一些特殊的程序,对某个从合法地址传来的数据包做些手脚,借此合法地址来非法侵入某个目标网络。
IPSEC VPN 基础知识
精选ppt
21
密钥交换(2)
D i ff i e - H e l l m a n密钥交换的一个缺点是易受“中间人”的攻击。
解决方法: “中间人”攻击并不足以证明D i ff i e - H e l l m a n的脆弱,只要A
解密:最好的方法从密钥管理和密钥分发中寻找机会点,而不是从 算法本身寻找寻找脆弱点。
因此,一个密码系统的成功与否的关键是密钥的生成,分发,管理。
精选ppt
4
二。加密技术
现代的基本加密技术要依赖于消息之目标接收者已知的一项秘密。通常,解 密方法(亦即“算法”)是任何人都知道的—就象所有人都知道怎样打开门 一样。然而,真正用来解开这一秘密的“密钥(K e y)”却并非尽人皆知— 就象钥匙一样,一扇门的钥匙并不是任何人都拿得到的。因此,关键的问题 是如何保障密钥的安全。
精选ppt
6
加密基础
公共密钥加密系统,建立在“单向函数和活门”的基础上。
“单向函数”,是指一个函数很容易朝一个方向计算,但很难(甚至不可能) 逆向回溯; “活门”,是指一种可供回溯的“小道”
1。因式分解问题: z=x.y 一个有限的范围内,很容易计算出数字的乘积,但却很难分解 出生成那个乘积的各个乘数 RSA
精选ppt
15
身份验证和完整性
为保守一个秘密,它的机密性是首先必须保证的。但假如不进行身份验证,也没有 办法知道要同你分享秘密的人是不是他/她所声称的那个人!同时假如不能验证接 收到的一条消息的完整性,也无法知道它是否确为实际发出的那条消息.
网络安全之IPsec详解
IPSEC安全协议“Internet 协议安全性(IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet 协议(IP) 网络上进行保密而安全的通讯。
Microsoft® Windows® 2000、Windows XP 和Windows Server 2003 家族实施IPSec 是基于“Internet 工程任务组(IETF)”IPSec 工作组开发的标准。
IPSec 是安全联网的长期方向。
它通过端对端的安全性来提供主动的保护以防止专用网络与Internet 的攻击。
在通信中,只有发送方和接收方才是唯一必须了解IPSec 保护的计算机。
在Windows XP 和Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。
ipsec 提供两种数据包格式AH:authentication head 51 保证数据的完整性以及认证不能加密是使用单向的hash算法进行加密将ah报文放到ip数据包头与传输层数据的中间,通过加密算法进行计算出来的一个ah头,这样保证数据在传输中不能被篡改。
[/url]·Next Header(下一个报头):识别下一个使用IP协议号的报头,例如,Next Header值等于"6",表示紧接其后的是TCP报头。
·Length(长度):AH报头长度。
·Security Parameters Index (SPI,安全参数索引):这是一个为数据报识别安全关联的32 位伪随机值。
SPI 值0 被保留来表明"没有安全关联存在"。
·Sequence Number(序列号):从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。
H3C IPSec
IPSec VPN一、IPSec概述IPSec(IP Security)并非单一的协议,而是由一系列的安全开放标准构成。
是IETF 制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
特定的通信方之间在IP层通过加密与数据源认证等方式,提供了数据机密性、数据完整性、数据来源认证及抗重播(IPSec接收方可检测并拒绝接收过时或重复的报文)等安全服务。
IPSec实现与网络层,所以上层协议均可受到IPSec的保护。
IPSec可以在主机、路由器或防火墙上实现。
这些实现了IPSec的中间设备成为安全网关。
IPSec也有一些缺点,如其协议体系复杂难以部署;高强度的运算消耗大量资源;增加数据传输的延迟;不利于语音视频等实时性要求强的应用;仅能对点到点的数据进行保护;不支持组播等。
二、IPSec体系结构1、IPSec的安全协议IPSec通过如下两种协议来实现安全服务:(1)AH(Authentication Header,验证头)主要提供的功能有数据源认证、数据完整性校验和防报文重放功能,可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。
AH报文头插在标准IP包头后面,保证数据包的完整性和真实性,防止黑客截获数据包或向网络中插入伪造的数据包。
(2)ESP(Encapsulating Security Payload,封装安全载荷)将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。
因此ESP可以提供数据机密性保证、数据源认证、数据完整性校验和防报文重放等功能,常见的加密算法有DES、3DES、AES 等,常见的验证算法有MD5、SHA-1等。
AH和ESP可以单独使用,也可以联合使用。
设备支持的AH和ESP联合使用的方式为:先对报文进行ESP封装,再对报文进行AH封装,封装之后的报文从内到外依次是原始IP 报文、ESP头、AH头和外部IP头。
IPSec协议解析
IPSec协议解析IPSec(Internet Protocol Security)是一种用于保护网络通信的协议集合。
它提供了安全的互联网协议,用于验证和加密IP数据包,确保在网络中传输的数据的保密性、完整性和可用性。
本文将对IPSec协议进行详细解析,涵盖其基本原理、加密和身份验证方法以及应用场景等方面。
一、IPSec基本原理IPSec协议通过在IP包头部插入额外的安全信息,在网络层对数据进行保护。
它包括两个主要的协议:认证头(AH)和封装安全载荷(ESP)。
AH提供了数据的完整性检查和源身份验证,而ESP则提供了数据的加密和可选的源认证。
IPSec使用了多种加密算法和密钥协议来保障通信的安全性。
其中,对称密钥算法(如AES、3DES)用于数据的加密和解密,而非对称密钥算法(如RSA、Diffie-Hellman)用于密钥的协商和交换。
此外,还可以使用数字证书对通信双方的身份进行验证。
二、IPSec的加密和身份验证方法1. 认证头(AH)认证头提供了数据完整性检查和源身份验证的功能,但不提供数据的加密。
它通过在IP包头部插入AH扩展头,在发送和接收时对数据进行校验,确保数据在传输过程中没有被篡改。
2. 封装安全载荷(ESP)封装安全载荷提供了数据的加密和可选的源认证功能。
它通过在IP包头部插入ESP扩展头,在发送和接收时对数据进行加密和解密,确保数据在传输过程中的保密性。
同时,通过添加可选的认证数据,可以对数据源进行验证,防止伪造和重播攻击。
3. 安全关联与密钥管理IPSec使用安全关联(SA)来标识和管理通信双方之间的安全连接。
每个SA包含了加密算法、认证算法、密钥等相关参数,用于对数据进行加密、解密和认证。
密钥交换可以通过预共享密钥、证书、IKE (Internet Key Exchange)等方式进行。
三、IPSec的应用场景1. 虚拟私有网络(VPN)IPSec广泛应用于构建安全的企业内部网络和远程访问连接。
ipsec 详解
加密
与IPSec实现相关的几个概念
a. 安全网关:指具有IPsec功能的网关设备(安全加密 路由器),安全网关之间可以利用IPsec对数据进行 安全保护,保证数据不被偷窥或篡改。 b. 安全策略(Crypto Map):由用户手工配臵,规定 对什么样的数据流采用什么样的安全措施。对数据 流的定义是通过在一个访问控制列表中配臵多条规 则来实现,在安全策略中引用这个访问控制列表来 确定需要进行保护的数据流。一条安全策略由“名 字”和“顺序号”共同唯一确定。 c. 安全策略库:是所有具有相同名字的安全策略的集 合,当一个接口需要对外建立多条安全隧道时,必 须采用此种形式。一个原则需要明确,任何端口都 只能应用一个安全策略库,任何一个安全策略库同 时都只能应用在一个端口之上。
VPN简介
IP VPN (Virtual Private Network,虚拟专用网)就是利 用开放的公众IP/MPLS网络建立专用数据传输通道,将远 程的分支机构、移动办公人员等连接起来。
中心站点
分支机构
IP/MPLS网 移动办公人员
隧道机制
IP VPN可以理解为:通过隧道技术在公众IP/MPLS网络 上仿真一条点到点的专线 。 隧道是利用一种协议来传输另外一种协议的技术,共涉 及三种协议, 包括:乘客协议、隧道协议和承载协议。
哈哈,要是敢直接传递密 钥,我就只好偷看了
密钥
密钥
DH算法的基本原理
Router A
Router B
p q
双方没有直 接传递密钥
生成一个整数 p 把 p发送到对端
根据p、q生成g
生成一个整数 q 把 q发送到对端 根据p、q生成g 生成密钥Xb
生成密钥Xa 把 Ya=(g^ Xa) mod p 发送到对端
IPSec基本信息
简介IPSec 是安全联网的长期方向。
它通过端对端的安全性来提供主动的保护以防止专用网络与Internet 的攻击。
在通信中,只有发送方和接收方才是唯一必须了解IPSec 保护的计算机。
在Windows XP和Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。
作用目标1、保护IP数据包的内容。
2、通过数据包筛选及受信任通讯的实施来防御网络攻击。
3、其中已接收和发送最为重要。
现实应用现实中对于IPSec的应用,主要是以下几种:1.局域网:客户端/服务器和对等网络之间的应用。
2.广域网:路由器到路由器或者网关到网关之间的应用。
3.VPN:通过广域网实现局域网功能。
IPSec提供的安全服务1.数据完整性:保持数据的一致性,防止未授权地生成、修改或删除数据。
2.认证:保证接收的数据与发送的数据相同,保证实际发送者就是声称的发送者。
3.保密性:传输的数据是经过加密的,只有预定的接收者知道发送的内容。
4.应用透明的安全性:IPSec的安全头插入在标准的IP头和上层协议(例如TCP)之间,任何网络服务和网络应用可以不经修改地从标准IP转向IPSec,同时IPSec通信也可以透明地通过现有的IP路由器。
5.反重播性:"反重播"确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。
该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。
IPSec的工作模式1.传输模式:用于主机之间,保护分组的有效负载,不对原来的IP地址进行加密。
2.隧道模式:用于在internet中的路由,对整个IP分组进行保护,首先对IP分组进行加密,然后将加密后的分组封装到另一个IP分组中。
IPSec的功能划分1.认证头(AH):用于数据完整性认证和数据源认证,但是不提供保密服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一个接口只能应用一个安全策略组 IKE协商参数的安全策略可以应用到多个接口上 手工配置参数的安全策略只能应用到一个接口上
31
IPSec信息显示命令
显示安全策略的信息 显示安全提议的信息 显示安全联盟的相关信息 清除已经建立的安全联盟
[Router] display ipsec policy [ brief | name policy-name [ seqnumber ] ]
UDP端口500
23
IKE与IPSec的关系
普通报文
AH/ESP
受保护的报文
AH/ESP
普通报文
IPSec
IKE
交换密钥 协商IPSec SA
IKE
IPSec
IKE为IPSec提供自动协商交换密钥、建 立SA的服务 IPSec安全协议负责提供实际的安全服务
24
由一个(SPI,IP目的地址,安全协议标识符) 三元组唯一标识
决定了对报文进行何种处理
协议、算法、密钥
每个IPSec SA都是单向的
手工建立/IKE协商生成
SPD(Security Policy Database)
SAD(Security Association Database)
16
目录
基本概念和术语 IPSec VPN概述 IPSec体系结构 IPSec隧道基本配置 IPSec隧道配置示例
IPSec的配置任务
配置安全ACL 配置安全提议
配置安全策略
在接口上应用安全策略
配置IKE
26
配置安全ACL
IPSec通信双方安全ACL的源和目的须 对称
原始IP包
原始IP头 TCP
原始IP头 TCP
载荷数据
载荷数据 ESP尾 加密密钥
加密算法
密文
ESP头
密文
验证密钥
验证算法
Authentication Data
新IP头
ESP头
密文 ESP尾
ESP Auth
22
IKE介绍
IKE(Internet Key Exchange) RFC 2409 使用Diffie-Hellman交换 完善的前向安全性
理解IPSec的功能和特点 理解IPSec体系构成 描述IPSec/IKE的基本特点
完成IPSec +IKE预共享密钥隧道的基
本配置
目录
基本概念和术语 IPSec VPN概述 IPSec体系结构 IPSec隧道基本配置 IPSec隧道配置示例
基本安全性需求
机密性
配置AH协议采用的验证算法
[Router-ipsec-proposal-tran1] ah authentication-algorithm { md5 | sha1 }
29
配置IKE协商参数的安全策略
创建一条安全策略,并进入安全策略视图
[Router] ipsec policy policy-name seq-number isakmp
配置安全策略引用的ACL 配置安全策略所引用的安全提议 在安全策略中引用IKE对等体
[Router-ipsec-policy-manual-map1-10] security acl aclnumber
[Router-ipsec-policy-manual-map1-10] proposal proposalname&<1-6>
什么是IPSec VPN
RFC 2401描述了IPSec(IP Security) 的体系结构
IPSec是一种网络层安全保障机制 IPSec可以实现访问控制、机密性、完整 性校验、数据源验证、拒绝重播报文等 安全功能 IPSec可以引入多种验证算法、加密算法 和密钥管理机制 IPSec VPN是利用IPSec隧道实现的L3 VPN
13
IPSec传输模式
站点A
加密报文
站点B
IP
RTA RTB
14
IPSec隧道模式
IPSec Tunnel
站点A
普通报文 加密报文
站点B
普通报文
RTA
RTB
IP
15
IPSec SA
SA(Security Association,安全联盟)
[Router] display ipsec proposal [ proposal-name ]
[Router] display ipsec sa [ brief | duration | policy policy-name [ seq-number ] | remote ip-address ]
本端:
acl number 3101 rule 1 permit ip source 173.1.1.1 0.0.0.0 destination 173.2.2.2 0.0.0.7
对端:
acl number 3204 rule 1 permit ip source 173.2.2.2 0.0.0.7 destination 173.1.1.1 0.0.0.0
解密方
……
……
共享密钥
加密
解密
yHidYTV dkd;AOt ……
双方共享一个密钥
5
yHidYTV dkd;AOt ……
共享密钥
非对称加密算法
加密方
皇奉 帝天 诏承 曰运
解密方
解密方的 公开密钥
皇奉 帝天 诏承 曰运
……
……
加密
解密
yHidYTV dkd;AOt ……
27
配置安全提议
创建安全提议,并进入安全提议视图
[Router] ipsec proposal proposal-name
选择安全协议
[Router-ipsec-proposal-tran1] transform { ah | ah-esp | esp }
IPSec
日期:
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
H3C网络学院v3.0
引入
数据在公网上传输时,很容易遭到篡改和窃听 普通的VPN本质上并不能防止篡改和窃听
IPSec通过验证算法和加密算法防止数据遭受篡改和
窃听等安全威胁,大大提高了安全性
课程目标
学习完本课程,您应该能够:
11
目录
基本概念和术语 IPSec VPN概述 IPSec体系结构 IPSec隧道基本配置 IPSec隧道配置示例
IPSec的体系结构
安全协议
负责保护数据
AH/ESP
工作模式
传输模式:实现端到端保护 隧道模式:实现站点到站点保护
密钥管理
手工配置密钥 通过IKE协商密钥
28
配置安全提议(续)
选择安全算法
配置ESP协议采用的加密算法
[Router-ipsec-proposal-tran1] esp encryption-algorithm { 3des | aes [ key-length ] | des }
配置ESP协议采用的验证算法
[Router-ipsec-proposal-tran1] esp authentication-algorithm { md5 | sha1 }
[Router-ipsec-policy-manual-map1-10] ike-peer peer-name
30
在接口上应用安全策略
在接口上应用安全策略
IPSec安全策略可以应用到串口、以太网口等物
[Router-Serial1/0] ipsec policy policy-name 理接口上和Tunnel、Virtual Template等逻辑接 口上
创建IKE提议
选择IKE提议的加密算法 选择IKE提议的验证算法
配置IKE对等体
创建IKE对等体 配置IKE协商模式 配置对端安全网关的IP地址
33
配置IKE提议
创建IKE提议,并进入IKE提议视图
[Router] ike proposal proposal-number
yYaIPyq Zo[yWIt
?
7
Diffie-Hellman交换
peer1
(g ,p)
peer2
a
c=gamod(p) damod(p)
b
d=gbmod(p) cbmod(p)
damod(p)= cbmod(p)=gabmod(p)
8
目录
基本概念和术语 IPSec VPN概述 IPSec体系结构 IPSec隧道基本配置 IPSec隧道配置示例
防止数据被未获得授权的查看者理解 通过加密算法实现 防止数据在存储和传输的过程中受到非法的篡改 使用单向散列算法实现 判断一份数据是否源于正确的创建者 单向散列函数、数字签名和公开密钥加密
完整性
验证
4
对称加密算法
加密方
皇奉 帝天 诏承 曰运 皇奉 帝天 诏承 曰运
加密和解密的密钥不同
6
yHidYTV dkd;AOt ……
解密方的 私有密钥
单向散列算法
发送方
皇奉 帝天 诏承 曰运